Erstellen von Cloud Discovery-Momentaufnahmeberichten

  • Artikel

Es ist wichtig, ein Protokoll manuell hochzuladen und es von Microsoft Defender for Cloud Apps analysieren zu lassen, bevor Sie versuchen, den automatischen Protokollsammler zu verwenden. Informationen zur Funktionsweise des Protokollsammlers und zum erwarteten Protokollformat finden Sie unter Verwenden von Datenverkehrsprotokollen für Cloud Discovery.

Wenn Sie noch über kein Protokoll verfügen aber ein Beispiel sehen möchten, wie Ihr Protokoll aussehen sollte, laden Sie eine Beispielprotokolldatei herunter. Führen Sie die folgende Prozedur aus, um zu sehen, wie Ihr Protokoll aussehen sollte.

So erstellen Sie einen Momentaufnahmebericht:

  1. Sammeln Sie Protokolldateien von Ihrer Firewall und Ihrem Proxy, über die Benutzer in Ihrer Organisation auf das Internet zugreifen. Stellen Sie sicher, dass Sie Protokolle zu Spitzenzeiten des Datenverkehrs sammeln, die für alle Benutzeraktivitäten in Ihrer Organisation repräsentativ sind.

  2. Wählen Sie im Microsoft Defender-Portal unter Cloud-Apps die Option Cloud Discovery.

  3. Ziehen Sie in der oberen rechten Ecke Aktionen nach unten, und wählen Sie Momentaufnahmebericht zu Cloud Discovery erstellen.

    Create new snapshot report.

  4. Wählen Sie Weiter aus.

  5. Geben Sie einen Berichtsnamen und ein Beschreibung ein

    New snapshot report.

  6. Wählen Sie die Quelle aus, aus der Sie die Protokolldateien hochladen möchten. Wenn Ihre Quelle nicht unterstützt wird (siehe Unterstützte Firewalls und Proxys für die vollständige Liste), können Sie einen benutzerdefinierten Parser erstellen. Weitere Informationen finden Sie unter Use a custom log parser (Verwenden eines benutzerdefinierten Protokollparsers).

  7. Überprüfen Sie das Protokollformat, um sicherzustellen, dass es gemäß dem Beispielprotokoll, das Sie herunterladen können, ordnungsgemäß formatiert ist. Wählen Sie unter Protokollformat überprüfen, Protokollformat anzeigen dann Beispielprotokoll herunterladen aus. Vergleichen Sie Ihr Protokoll mit dem bereitgestellten Beispiel, um sicherzustellen, dass es kompatibel ist.

    Verify your log format.

    Hinweis

    Das FTP-Beispielformat wird in Momentaufnahmen und automatisierten Upload unterstützt, während Syslog nur in automatisierten Uploads unterstützt wird. Beim Herunterladen eines Beispielprotokolls wird ein FTP-Beispielprotokoll heruntergeladen.

  8. Laden Sie Datenverkehrsprotokolle hoch, die Sie hochladen möchten. Sie können bis zu 20 Dateien gleichzeitig hochladen. Komprimierte und gezippte Dateien werden ebenfalls unterstützt.

    Upload traffic logs.

  9. Wählen Sie Protokolle hochladen.

  10. Nach Abschluss des Hochladens wird die Statusmeldung in der oberen rechten Ecke des Bildschirms angezeigt, damit Sie wissen, dass Ihr Protokoll erfolgreich hochgeladen wurde.

  11. Nachdem Sie Ihre Protokolldateien hochgeladen haben, dauert es einige Zeit, bis sie geparst und analysiert werden. Nachdem die Verarbeitung Ihrer Protokolldateien abgeschlossen ist, erhalten Sie eine E-Mail, in der Sie darüber informiert werden, dass die Verarbeitung abgeschlossen wurde.

  12. Ein Benachrichtigungsbanner wird am oberen Rand des Cloud Discovery-Dashboards in der Statusleiste angezeigt. Das Banner aktualisiert Sie mit dem Verarbeitungsstatus Ihrer Protokolldateien. processing log file menu bar.

  13. Nachdem die Protokolle erfolgreich hochgeladen wurden, sollte eine Benachrichtigung angezeigt werden, die Sie darüber informiert, dass die Verarbeitung der Protokolldatei erfolgreich abgeschlossen wurde. An diesem Punkt können Sie den Bericht anzeigen, indem Sie den Link in der Statusleiste auswählen. Oder wählen Sie im Microsoft Defender-Portal Einstellungen.

  14. Wählen Sie dann unter Cloud Discovery die Option Momentaufnahmeberichte und anschließend Ihren Momentaufnahmebericht.

    snapshot report management.

Verwenden von Datenverkehrsprotokollen für Cloud Discovery

Cloud-Entdecken verwendet die Daten in Ihrem Datenverkehrsprotokollen. Je detaillierter Ihr Protokoll ist, desto besser ist die Sichtbarkeit, die Sie erhalten. Cloud Discovery erfordert Webdatenverkehr mit den folgenden Attributen:

  • Datum der Transaktion
  • Quell-IP
  • Quell-Benutzer – sehr empfohlen
  • Ziel-IP-Adresse
  • Ziel-URL empfohlen (URLs bieten eine höhere Genauigkeit für die Cloud-App-Erkennung als IP-Adressen)
  • Gesamtmenge der Daten (Dateninformationen sind sehr wertvoll)
  • Menge der hochgeladenen/heruntergeladenen Daten (bietet Einblicke in Nutzungsmuster von Cloud-Apps)
  • Ergriffene Aktion (erlaubt/blockiert)

Cloud Discovery kann keine Attribute anzeigen oder analysieren, die nicht in Ihren Protokollen enthalten sind. Beispielsweise enthält das Cisco ASA Firewall-Standardprotokollformat weder die Anzahl hochgeladener Bytes pro Transaktion noch den Benutzernamen und die Ziel-URL (sondern nur die Ziel-IP-Adresse). Daher werden diese Attribute nicht in Cloud Discovery-Daten für diese Protokolle angezeigt, und die Sichtbarkeit der Cloud-Apps ist eingeschränkt. Für Cisco ASA-Firewalls muss die Informationsebene auf 6 festgelegt werden.

Damit ein Cloud Discovery-Bericht erfolgreich generiert werden kann, müssen Die Datenverkehrsprotokolle die folgenden Bedingungen erfüllen:

  1. Datenquelle wird unterstützt.
  2. Das Protokollformat entspricht dem erwarteten Standardformat (Format, das beim Hochladen durch das Protokolltool überprüft wird).
  3. Ereignisse sind nicht mehr als 90 Tage alt.
  4. Die Protokolldatei ist gültig und enthält Informationen zum ausgehenden Datenverkehr.

Nächste Schritte

Steuern von Cloud-Apps mit Richtlinien

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.